Istio 整合 Certmanager DNS01

有關 Istio ingress 部分，有在先前篇章稍微提過，也有提過藉由 Cert-Manager 申請網站憑證，但先前主要是針對單一網址網站進行申請範例，所使用的 Challenge Types 是HTTP01

DNS01

Cert-Manager另外支援 Challenge Types DNS01，此Type DNS01主要可針對整個主域名進行申請Wildcard憑證。

使用上，須在Issuer資源上設定DNS01，主要重點仍在 定義了憑證機構的窗口(server)、申請者(email)、申請方式(DNS01)。 範例如下：

apiVersion: cert-manager.io/v1alpha2
kind: Issuer
metadata:
  name: example-issuer
spec:
  acme:
    email: user@example.com
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    privateKeySecretRef:
      name: example-issuer-account-key
    solvers:
    - dns01:
        clouddns:
          project: my-project
          serviceAccountSecretRef:
            name: prod-clouddns-svc-acct-secret
            key: service-account.json

因申請流程中牽涉到 DNS 管理平台商，是否支援 Challenge Types DNS01，所以必須了解您使用的域名管理在哪些平台上。

目前支援 Challenge Types DNS01 的 DNS 域名商如下：

• ACME-DNS

• Akamai FastDNS

• AzureDNS

• Cloudflare

• Google CloudDNS

• Amazon Route53

• DigitalOcean

• RFC-2136